Можно ли создать самоподписанный промежуточный ЦС для ssl?

Я пытаюсь создать свою собственную иерархию SSL, например:

MyRootCA

--MyIntermediateCA

---- MyCert

Я установил MyRootCA и MyIntermediateCA, но Windows указывает, что MyIntermediateCA не имеет права выдавать сертификаты. Следовательно, это делает MyCert недействительным.

Я использую sign.sh из пакета mod_ssl, который использует команду openssl ca.

Интересно, есть ли какой-либо параметр / опция, которая дает MyIntermediateCA право выдавать сертификаты подуровня?

ssl-certificate openssl

Обычно промежуточному центру сертификации требуется действительная подпись (также не просроченная) от доверенного центра сертификации, а также тег ограничения использования CA: true. Обычно промежуточные центры сертификации не указываются напрямую в базе данных доверия при проверке клиентов. Следовательно, когда служба отправляет свой собственный сертификат, который подписан промежуточным ЦС (например, при установлении сеанса TLS), она также должна отправлять все промежуточные сертификаты ЦС между собой и корневым ЦС, чтобы проверяющий клиент мог фактически построить доверительные отношения. цепочка между двумя концами цепочки.

Самоподпись, о которой вы говорите в заголовке своего вопроса, сделает это либо автономным сертификатом, либо, если у него есть флаг CA: true, он сделает сам сертификат корневым CA.